Seguramente hayas recibido en alguna ocasión una llamada sospechosa de alguien que se ha intentado hacer pasar por tu soporte técnico o por tu gestor bancario solicitando información personal. Se trata de una llamada fraudulenta que intenta suplantar la identidad de otra empresa. Esta acción se conoce como vishing.
Los avances tecnológicos, las mayores facilidades para compartir información personal y el desconocimiento sobre el funcionamiento de las nuevas aplicaciones de servicios de pago, como Bizum, hacen que el vishing tenga cada vez más víctimas. En este post te contamos todos los detalles, para que puedas protegerte frente a estos ciberataques.
- ¿Qué es el vishing?
- ¿Cómo funciona el vishing?
- Ejemplos comunes de vishing
- Vishing, phishing y smishing
- Así puedes evitar ser víctima de esta nueva ciberestafa
¿Qué es el vishing?
Como explica el INCIBE, el vishing es un tipo de amenaza en la que el ciberdelincuente combina una llamada telefónica fraudulenta con la información que ha conseguido anteriormente de la víctima a través de otras técnicas en internet. Este término es una conjunción de las palabras voice y phishing.
La llamada es el último paso de este fraude online por el que intentarán obtener información personal. Esto pasa por conseguir tu número de tarjeta o una clave que solo tengas tú y que te ha llegado a uno de tus dispositivos, como un token digital o SMS. El objetivo no es otro que finalizar algún tipo de operación en la que esas claves son necesarias.
Al disponer de información previa del usuario, se consigue persuadirlo con más facilidad, ya que cree que el motivo de la llamada es real y acaba facilitando los datos necesarios para poder proceder al engaño. Una estafa muy sensible sobre todo en las personas de avanzada edad.
¿Cómo funciona el vishing?
Cuando somos víctimas de un fraude como el vishing, hay que tener en cuenta que los ciberdelincuentes han realizado un trabajo previo. En primer lugar, necesitan hacerse con información confidencial de su víctima, ya sea a través de un correo electrónico o de una web fraudulenta (phishing). Una vez que tengan estos datos, les faltará el último paso para culminar su estafa, la llamada.
Para completar su trabajo, es posible que les haga falta una clave que habrá llegado por SMS o a través de un token digital. Ahí es cuando llega su último movimiento. El ciberdelincuente necesita contactar con la víctima y la vía elegida suele ser la telefónica. Se identifican como personal de una entidad bancaria, de una organización pública o de alguna otra compañía reconocida y, utilizando un tono de alarma, solicitarán la clave que tan solo posee el cliente. Con ella, podrán finalizar la transacción que tienen en marcha.
Ejemplos comunes de vishing
Uno de los casos sonados de vishing fue el de la Seguridad Social y Bizum que reportó la OCU, aunque con frecuencia salen a la luz nuevas estrategias de vishing muy bien desarrolladas con el objetivo de engañar a la perfección a sus víctimas.
En el caso mencionado, una persona llama haciéndose pasar por un empleado de la Seguridad Social y le indica a la futura víctima que le van a realizar un ingreso especial para hacer frente a la pasada crisis del coronavirus. Normalmente se trata de una prestación por maternidad y se gestiona a través de Bizum. ¿Cuál es la trampa? Cuando el usuario acepta no recibe la cifra indicada, sino un cargo por ese importe.
Aunque en la aplicación de Bizum esta operación aparezca indicada como un cargo, el hecho de haber recibido antes la llamada y la falta de costumbre con la aplicación hace que muchos usuarios se confundan y la acepten. Por eso es una estafa tan peligrosa para las personas menos habituadas a utilizar la tecnología.
Fraude de Hacienda o instituciones bancarias
Además de este ejemplo de suplantación gubernamental, hay más casos en los que los estafadores se hacen pasar por organismos públicos, como Hacienda. En esta estafa se recibe una llamada de un supuesto trabajador de Hacienda que comunica que se debe una cantidad de impuestos y que se debe pagar lo antes posible para evitar una sanción. Una vez que el usuario se ha creído esta parte, solo queda solicitarle la información personal para proceder a saldar la deuda.
También se han reconocido estafas de vishing en las que suplantan a instituciones bancarias para realizar llamadas informando de cargos fraudulentos, ofertas especiales o cualquier otro motivo con el que pretenden que el usuario acabe facilitando sus datos. De ahí que sea fundamental estar al día de las finanzas personales de cada uno para que no te cojan desprevenido.
Fraude del telemarketing
Otro ejemplo muy común de vishing muy habitual en los últimos meses, es el conocido “fraude del telemarketing”. El usuario recibe una llamada telefónica para comunicarle que está a punto de caducar la garantía de su vehículo, que quieren reducirle la tasa de interés de la tarjeta de crédito o que una organización benéfica necesita que colabore con una pequeña donación. Los ejemplos son muy variados y la finalidad es siempre la misma: convencer al usuario con algún beneficio para que aporte sus datos bancarios.
Fraude del soporte técnico
El “fraude del soporte técnico” tiene un planteamiento muy parecido. En esta ocasión, la llamada es de un representante del soporte técnico que quiere resolver un problema en el ordenador de la víctima. Por supuesto, para resolverlo necesita que la víctima le facilite el acceso remoto. Finalmente, la víctima tiene que pagar por este servicio prestado.
Hay que tener claro que ninguna empresa solicita a sus clientes datos críticos vía telefónica por lo que, si nos encontramos en un caso así, estaremos sufriendo, sin ninguna duda, un ataque de vishing.
Si el tono es de alarma o te meten prisa para hacer una acción que no has iniciado o solicitado, desconfía. Lo mejor en estos casos es colgar la llamada y contactar directamente con el organismo o entidad involucrada para corroborar los datos.
Vishing, phising y smishing
Aunque el vishing es la técnica de estafa por suplantación más conocida, hay otras dos prácticas que guardan mucho en común, el phising y el smishing, de las cuáles también os hemos hablado en el blog. Las tres comparten esa parte previa de conseguir información del usuario antes de proceder a contactar con él, pero, ¿en qué se diferencian?
- Como comentamos antes, en el vishing la víctima recibe una llamada telefónica.
- En las estafas por phishing el contacto con la víctima se realiza por medio de un correo electrónico que también suele suplantar la identidad de alguna compañía o entidad reconocida.
- El smishing usa como vía de contacto los SMS desde los que envía un enlace malicioso que la víctima debe seguir.
Así puedes evitar ser víctima de esta nueva ciberestafa
Comprueba siempre los números desde los que recibes las llamadas y las direcciones de correo electrónico. Si el número te parece sospechoso, puedes no responder e incluso bloquearlo. Si dicen pertenecer a una determinada compañía u organización, puedes comprobar si ese número o correo aparece en la web oficial de dicha empresa o buscarlo por internet.
Te recordamos que ninguna empresa solicita a sus clientes que revelen claves de acceso o datos críticos de forma telefónica. En el supuesto de recibir una llamada de este tipo, es importante mantener la calma y no dar ningún dato. Si eres nuestro cliente y la recibes, te agradecemos que nos avises en tuseguridad@abanca.com para poder investigarlo.
Es importante, además, tener los equipos actualizados con las últimas versiones para intentar evitar hackeos. También es recomendable saber la guía sobre ciberseguridad para que sigas otro tipo de precauciones como no abrir archivos adjuntos de destinatarios desconocidos o no visitar páginas web potencialmente peligrosas.
Por otra parte, desde la Oficina de Seguridad del Internauta (OSI) recomiendan vigilar con regularidad qué información personal está disponible en internet, con la finalidad de detectar si se han subido datos privados que pueden ser usados sin consentimiento.
Si quieres saber cómo evitar que te molesten constantemente las llamadas spam que parecen ser una realidad en nuestros días, lee nuestro artículo y entérate bien. Ante la duda, no cojas el teléfono y, si lo haces, no des tus datos privados. A día de hoy, este tipo de llamadas están localizadas en su mayoría y puedes comprobar después en Internet si el número que te ha llamado es fiable o no.
Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.